Enterprise Watch
最新ニュース

マイクロソフト、セキュア開発ライフサイクルなどの取り組みを説明

製品の安全化のほか、産学官連携による取り組みも重視

チーフセキュリティアドバイザーの高橋正和氏
 マイクロソフト株式会社は11月27日、セキュリティ対策の取り組みに関する記者説明会を開催。チーフセキュリティアドバイザーの高橋正和氏が登壇し、当社が2002年から行っている「Trustworthy Computing」への取り組みとその進展について説明した。

 Trustworthy Computingは、2002年1月から始まったマイクロソフト全社をあげての取り組み。「Security」「Privacy」「Reliability」「Business Practices」の4つを柱に、本質的な共通技術基盤やプロダクトライフサイクルなどが検討されている。

 これを基に同社では、多層的・統合的なセキュリティ技術やセキュアなプラットフォームの開発を軸とした「テクノロジー」面でのセキュリティ対策を進めてきた。その代表例となるのが、「セキュアな設計(Secure by Design)」「セキュアな初期設定(Secure by Default)」「セキュアな展開(Secure by Deployment)」から構築される「Security Development Lifecycle(SDL)」という考え方。

 SDLは、どうやって製品を安全にするかの方針となるもので、高橋氏は「これを全面的に採り入れたWindows Vista(以下、Vista)は、Windows XP(以下、XP)と比較して、リリース後、最初の1年間に公表された脆弱性の数はおよそ半分くらいにとどめることができた。2007年中に公表された脆弱性を比べても、この時点でリリース後4年が経過していたXPより、Vistaの方が低い数にとどまっている」と、その成果を語る。


マイクロソフトのセキュリティ分野での取り組み セキュリティとプライバシーに関する進展 成果として、Vistaをターゲットとした攻撃コードが減少したという

サイバークリーンセンターの運用業務フロー

日本は世界でもっともマルウェアの検出率が低い国
 「ただし、安全な製品を作るだけで安全になるとは限らない」とした高橋氏は、テクノロジー面での取り組みと並行して「ガイダンス」面・「パートナーシップ」面での取り組みも進めてきたと説明。その一例として、ボットの解析・駆除・啓発などを行う総務省・経済産業省連携プロジェクト「サイバークリーンセンター」を紹介した。同プロジェクトでは、日本データ通信協会・JPCERT/CC・IPAのほか、主要なISPやセキュリティベンダー各社が協力してボット対策に取り組んでおり、マイクロソフトもベンダーの一員として参画している。

 サイバークリーンセンターでは具体的に、「アジア最大級」(高橋氏)というハニーポッドを使ってボットの検体を収集。その解析結果から、ボットごとの駆除ツールを作成するほか、ボットの送信元となっていたユーザーへ通知を行い、駆除ツールの利用を促進しているという。

 日本データ通信協会 Telecom-ISAC Japan、企画調整部長の有村浩一氏は、「100%この成果とは言い切れないが、日本ではボット感染者数が少ない。2005年から2008年にかけてブロードバンドユーザーは格段に増えているにもかかわらず、感染者数は逆に若干減っている」と語った。

 また、マイクロソフトでも面白い調査結果を公開している。世界各国のマルウェア感染状況をサーモグラフィによる温度分布のように示した調査結果で、これによると、マルウェアの感染率は世界的に確実に上がっている一方で、日本は増加率が低いのだ。それだけでなく、現在のマルウェア検出率を見ても日本が世界でもっとも低いという。高橋氏は「これも理由を一概にはいえないが、当社の取り組みの効果も大きいのではと考えている」と胸を張った。


信頼に関する適切な判断が重要に
 一方で新たなセキュリティ対策課題が出てきていると高橋氏。「いま何が問題かと言えば、Web 2.0やクラウドなどの誕生でビジネスモデルが大きく変わっていること。匿名性により、犯罪者を追跡することが困難になったり、利用法に依存する危険性も出てきて、製品の脆弱性がなくなっても解決しない問題が出てきたりしている。プライバシーに関しても、サービスが複雑化し、利用者が認識していない問題が存在するようになり、セキュリティとプライバシーの垣根はますますあやふやなものとなってきている」と述べた。そして今後の方向性を次のように説明する。

 「Trustworthy Computingの取り組みを今後も継続していく。しかし、脆弱性は大幅に減少したが、完全になくなることはないし、またVistaに採り入れられたような多層防御でも、攻撃を根絶することはできない。ただユーザーが何かをする際に、それが安全と感じればオンラインの活動は増加するのは確か。今後は“信頼に関する適切な判断”を行えることが重要になるだろう」。

 そのためには、「ID請求」「認証」「権限付与」「アクセス制御」「監査」など既存の技術機構を、よりシステマチックに連携させていく必要があるという。「その上で、信頼できるデータ、信頼できる人物、信頼できるソフト、信頼できるハード、といったトラステッドスタックをしっかり組み上げていかなくてはならない」(高橋氏)とし、「これらは技術的には難しいことではないのだが、問題は社会的要請、経済的影響、政治・立法とどうかかわり、どう折り合いを付けていくかが最大の課題となるだろう」(高橋氏)とした。


組み上げるべきトラステッドスタック マイクロソフトとしての今後の主要な取り組み内容


URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/


( 川島 弘之 )
2008/11/27 19:23

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.